在最近的一次深潜中,Sophos X-Ops发现了一个复杂的活动,不针对企业或政府,而是其他黑客和游戏作弊者。这一切都始于一个名为Sakura RAT的后门恶意软件。
调查开始时,一位客户询问Sophos他们是否受到保护,可以防止一个名为Sakura RAT的工具,Sakura RAT是GitHub上托管的开源远程访问木马。但是,在检查代码时,Sophos研究人员很快发现,如果构建,这种RAT甚至无法运行 – 许多部分不完整或从其他恶意软件(如AsyncRAT)中窃取。
Visual Basic 项目文件中的隐藏 <PreBuild> 事件,在编译项目时秘密下载并安装恶意软件。
“樱花老鼠被后门。该代码旨在针对编制RAT的人,以及信息窃取器和其他RAT。
Sophos将攻击追溯到GitHub YAML文件中的电子邮件地址:ischhfd83[at]rambler.ru。搜索此标识符和代码片段导致了一个重要的发现——超过141个存储库,其中133个是后门。
“我们发现了141个存储库,其中133个是后门,其中111个包含PreBuild后门。
这些存储库伪装成从游戏作弊到恶意软件工具的一切,利用脚本小子和想成为黑客的好奇心和贪婪。甚至媒体报道也无意中宣传了这些存储库,进一步传播了陷阱。
感染链非常复杂。Visual Studio 版本:
- PreBuild脚本悄然删除了。vbs文件。
- 该脚本编写并执行了 PowerShell 有效载荷。
- 有效载荷获取了一个包含基于Electron的恶意软件应用程序SearchFilter.exe的7z存档。
- 在内部,一个庞大的,模糊的JavaScript文件执行了数据窃取,计划任务,Defender绕过attackers,并通过Telegram与攻击者进行通信。
“恶意软件收集……用户名,主机名,网络界面……并通过Telegram发送给攻击者。
除了PreBuild后门之外,研究人员还确定了其他三个:
- 使用Fernet加密的Python后门,并隐藏了空白。
- screensaver (.scr) 文件伪装从右到左覆盖技巧。
- 使用 eval() 和混淆的多级有效载荷的 JavaScript 后门。
detection每种变化都采用了独特的混淆和巧妙的技巧来逃避检测并最大化感染。
Sophos还发现了一种自动化模式:通过GitHub Actions自动提交,具有可回收用户名的虚假贡献者(如Mastoask,Maskts和Mastrorz),以及模仿主动开发的YAML脚本。
“威胁行为者可能希望给人一种错觉,即他们的存储库定期维护,以吸引更多潜在的受害者。
ischhfd83的身份仍然是一个谜,但这个角色与过去的分布式即服务(DaaS)网络(如Stargazer Goblin)之间出现了联系。嵌入恶意软件中的Telegram机器人指向未知x,这可能是别名。该团队甚至发现了一个可疑的领域——arturshi.ru——曾经托管过一个虚假的网红课程,现在重定向到一个金融诈骗网站。
“’未知’是否是实际的别名……还是故意缺席,尚不清楚。
Sophos 以这个警告结束:
“我们怀疑这个故事可能还有更多,并将继续监测进一步发展。
